Defaults.Exposed › Rapports
L'élite des notes A : ce que font différemment les domaines les plus sécurisés d'Internet (2026)
Publié 2026-06-28
Chiffres au 2026-06-28 · méthodologie v7. Données de recensement agrégées — la note d’aucune entreprise individuelle n’est jamais publiée. Voir comment nous notons.
Sécuriser un domaine à un niveau A vous place dans la fraction supérieure du premier centile de l’ensemble d’Internet. Sur 260 millions de domaines notés, seuls 1 202 444 (0,46%) atteignent un B ou mieux, et à peine 0,02% — soit environ 1 sur 4 600 — obtiennent un A ou A+. Ce qui est remarquable n’est pas la rareté de ces domaines. C’est que ce qu’ils font différemment est presque entièrement gratuit, standard et réalisable en une après-midi.
Voici le mode opératoire de l’élite des notes A.
Dans quelle mesure la note A est-elle exclusive ?
| Niveau | Domaines | Part | Rareté |
|---|---|---|---|
| A ou A+ | 6 740 + 49 762 | 0,02% | ~1 sur 4 600 |
| B ou mieux | 1 202 444 | 0,46% | ~1 sur 220 |
| C ou mieux | — | — | ~1 sur 27 |
Pour contextualiser : obtenir un B vous place devant plus de 99 domaines sur 100 sur Internet. Ce ne sont pas les budgets des équipes de sécurité des grandes multinationales qui sont à l’œuvre ici — ce sont les mêmes paramètres DNS disponibles pour n’importe quel propriétaire de domaine. L’élite les a simplement activés.
Ce que les domaines les plus sécurisés d’Internet ont en commun
Un domaine A n’a pas fait une seule chose brillante. Il a comblé chaque faille courante. Sur les 34 contrôles que nous notons, les domaines de premier rang réussissent systématiquement les mêmes fondamentaux :
1. Leurs e-mails ne peuvent pas être forgés
Le principal facteur différenciant entre un A et un F est l’authentification e-mail en enforcement :
- SPF publié et correct — déclarant quels serveurs peuvent envoyer des e-mails pour le domaine. (Corriger SPF →)
- DKIM signant les e-mails sortants pour qu’ils ne puissent pas être altérés. (Corriger DKIM →)
- DMARC en enforcement (
p=quarantineoup=reject) — pas lep=nonesans dents. C’est ce qui empêche réellement un e-mail usurpé d’atteindre la boîte de réception. (Corriger DMARC →)
Un domaine qui publie ces trois éléments en enforcement a fermé la porte à l’attaque la plus courante sur Internet : quelqu’un envoyant des e-mails en se faisant passer pour vous.
2. Leur site est correctement chiffré — pas seulement « avec https »
Les meilleurs domaines ne se contentent pas de servir HTTPS ; ils le font correctement :
- Un certificat valide et à jour correspondant au nom d’hôte. (Certificat →)
- HSTS pour que les navigateurs refusent de revenir en HTTP non sécurisé. (Corriger HSTS →)
- TLS moderne uniquement, avec les versions de protocole obsolètes désactivées. (TLS →)
3. Leur DNS est renforcé
L’élite verrouille la couche sous-jacente au site web :
- DNSSEC activé, pour que les réponses DNS ne puissent pas être silencieusement falsifiées. (Corriger DNSSEC →)
- Enregistrements CAA restreignant quelles autorités de certification peuvent émettre des certificats pour le domaine. (Corriger CAA →)
4. Ils envoient les bons en-têtes de sécurité
Les touches finales qui distinguent un B d’un A+ :
- Content-Security-Policy, X-Frame-Options (anti-clickjacking), X-Content-Type-Options, et une Referrer-Policy sensée.
- Ils ne divulguent pas leur pile logicielle via des en-têtes
Server/X-Powered-Byverbeux.
Le schéma : les domaines sécurisés accumulent les petites victoires
Aucun paramètre unique ne suffit à obtenir un A. L’élite gagne en empilant une douzaine d’étapes de configuration individuellement petites et individuellement gratuites jusqu’à ce qu’il ne reste plus aucune porte ouverte. C’est une excellente nouvelle pour tout le monde, car cela signifie que le chemin vers un A n’est pas un achat coûteux — c’est une liste de contrôle.
Comment rejoindre l’élite des notes A
- Découvrez où vous en êtes. Effectuez une vérification gratuite et obtenez votre note ainsi qu’un détail contrôle par contrôle de ce que vous réussissez et ratez.
- Commencez par l’e-mail. SPF, DKIM, puis DMARC en enforcement — c’est là que l’impact est le plus fort et que l’usurpation est stoppée.
- Confirmez TLS + HSTS, puis ajoutez DNSSEC et CAA.
- Ajoutez les en-têtes de sécurité pour finaliser.
- Revérifiez. La plupart de ces changements sont actifs en quelques minutes à quelques heures.
Foire aux questions
Qu’est-ce qui rend un domaine sécurisé ?
L’authentification e-mail en enforcement (SPF + DKIM + DMARC à p=quarantine ou p=reject), un certificat TLS moderne et valide avec HSTS, le renforcement DNS (DNSSEC et CAA), et un ensemble complet d’en-têtes de sécurité HTTP. Les domaines A obtiennent tout cela correctement en même temps.
Combien de domaines ont une note A ? Au 2026-06-28, seuls 0,02% des 260 millions de domaines notés obtiennent un A ou A+ — soit environ 1 sur 4 600.
Obtenir un A est-il coûteux ? Non. Presque toutes les exigences correspondent à des modifications de configuration gratuites dans vos paramètres DNS ou de serveur web. Le frein, c’est la sensibilisation, pas le coût.
Combien de temps faut-il pour sécuriser un domaine ? Les correctifs essentiels peuvent généralement être effectués en une après-midi ; la plupart se propagent en quelques minutes à quelques heures.
Voyez à quelle distance votre domaine est d’un A
Vous n’êtes peut-être qu’un paramètre de distance du top 0,46% — ou plusieurs. Vérifiez de manière privée et gratuite, et obtenez la liste exacte de ce qu’il faut corriger.
Vérifier votre domaine → · Comment nous notons → · Données agrégées uniquement ; les notes individuelles ne sont communiquées qu’aux propriétaires vérifiés. Données stockées et traitées dans l’UE.